USG 방화벽의 NAT 구성
USG방화벽 NAT구성
학습 목적
USG 방화벽에서 NATServer를 구성하는 방법을 익히세요
-
USG 방화벽에서 NATEasy IP를 구성하는 방법을 익히세요
토폴로지 그림
~ 미소를 지으며, 회사는 네트워크 방화벽을 사용하여 세 개의 영역으로 분리됩니다. 이제 DMZ 영역의 서버(IP 주소: 10.0.3.3)에서 제공하는 텔넷 서비스를 공개해야 합니다. 공용 주소는 10.0.10.20 및 24입니다. 그리고 내부 네트워크 Trust 영역의 사용자는 외부에서 Easy-IP를 통해 액세스합니다. 영역. 다른 방향에서의 접근은 금지되어 있습니다. 
Learn학습 작업
1단계.
기본 구성 및 IPAddressing
먼저 3개의 라우터에 대한 주소 정보를 구성합니다. [Huawei]sysname R1[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.0.10.124[R1-GigabitEthernet0/0/1]desc 이 포트S1에 연결 -G0/0/1[R1-GigabitEthernet0/0/1]interfaceloopback0[R1-LoopBack0]ip add 10.0.1.1 24[R1-LoopBack0]q[Huawei]sysname R2[R2 ]인터페이스 g0/0/1[R2-GigabitEthernet0/0/1]ip add 10.0.20.224[R2-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/2[R2- GigabitEthernet0/0/1]인터페이스loopback0[R2-LoopBack0]ip 추가 10.0.2.2 24[R2-LoopBack0]q[Huawei]sysname R3[R3]인터페이스 g0/0/1[R3 -GigabitEthernet0/0/1]ip add 10.0.30.324[R3-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/3[R3-GigabitEthernet0/0/1]interfaceloopback0[R3 -LoopBack0]ip add 10.0.3.3 24[R3-LoopBack0]q방화벽 주소 구성 시 G0/0/1은 10.0.20.254/24로 구성됩니다.[SRG]sysname FW 13:06: 03 2014/07/08[FW]인터페이스 g0/0/113:06:30 2014/07/08[FW-GigabitEthernet0/0/1]ip 추가 10.0.20.2542413:07 :01 2014/07/08[FW-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/2213:07:52 2014/07/08[FW- GigabitEthernet0/0/ 1]인터페이스 g0/0/013:08:23 2014/07/08[FW-GigabitEthernet0/0/0]dis this13:08:31 2014/07/08
# 인터페이스 GigabitEthernet0/0/0 별칭 GE0/MGMT ipaddress 192.168.0.1 255.255.255.0 dhcpselect 인터페이스 dhcpserver 게이트웨이 목록 192.168.0.1
#
return[FW-GigabitEthernet0 /0/0 ]undo ip add13:08:42 2014/07/08정보: 이 인터페이스의 DHCP 서버 구성이 삭제됩니다.[FW-GigabitEthernet0/0/0]display this 13:08:46 2014/07/08#interface GigabitEthernet0/0/0 별칭 GE0/MGMT#return[FW-GigabitEthernet0/0/0]ip add 10.0.10.25424
13:09: 29 2014/07/08[FW-GigabitEthernet0/0/0]desc this portconnect to S1-G0/0/2113:10:05 2014/07/08[FW- GigabitEthernet0/0/0 ] 인터페이스 G0/0/213:10:15 2014/07/08[FW-GigabitEthernet0/0/2]ip 추가 10.0.30.2542413:10:28 2014/07 /08[ FW-GigabitEthernet0/0/2]desc 이 포트를 S1-G0/0/2313:10:53 2014/07/08[FW-GigabitEthernet0/0/2]q 스위치의 요구 사항을 따라야 합니다. vlan 정의[Huawei]sysname S1[S1]vlan 배치 11 ~ 13정보: 이 작업은 몇 초 정도 걸릴 수 있습니다...완료되었습니다.
[S1]인터페이스 g0/0/ 1[S1-GigabitEthernet0/0/1]포트 링크 유형 액세스[S1-GigabitEthernet0/0/1]포트 기본 vlan11[S1]인터페이스 g0/0/2 [S1-GigabitEthernet0/0/2]포트 링크 유형 액세스[S1-GigabitEthernet0/0/2]포트 기본 vlan12[S1-GigabitEthernet0/0/2]인터페이스 g0/0/3[S1 -GigabitEthernet0/0/3]포트 링크 -typeaccess[S1-GigabitEthernet0/0/3]포트 기본 vlan13[S1-GigabitEthernet0/0/3]인터페이스 g0/0/21[S1-GigabitEthernet0/0 /21]포트 링크 유형액세스 [S1-GigabitEthernet0/0/21]포트 기본 vlan11[S1-GigabitEthernet0/0/21]인터페이스 g0/0/22[S1-GigabitEthernet0/0/22]포트 링크 유형 액세스[S1-GigabitEthernet0 /0/22]포트 기본 vlan12[S1-GigabitEthernet0/0/22]인터페이스 g0/0/23[S1-GigabitEthernet0/0/23]포트 링크 유형 액세스
[S1-GigabitEthernet0/0/23 ]포트 기본 vlan13
2단계.
인터페이스를 보안 영역으로 구성
방화벽에는 기본적으로 "local", "trust", "untrust" 및 "dmz"의 네 가지 영역이 있습니다. “실험에서는 "Trust", 'Untrust', 'DMZ'의 세 가지 영역을 사용했습니다. G0/0/0을 Untrust 영역으로 구성하고, G0/0/0/2를 DMZ 영역, G0/0으로 구성했습니다. G0/0 /0/1은
[FW]방화벽 영역 신뢰
13:45:31 2014/07/08
[FW-zone-trust]이
13:45로 구성되었습니다. :35 2014/07 /08
#
firewall zone trust
setpriority 85
addinterface GigabitEthernet0/0/0
#
return
[FW-zone-trust]undo add inter
[FW- zone-trust] 인터페이스 추가 실행 취소 g0/0/0
13:46:01 2014/07/08
[FW-zone-trust] 인터페이스 추가 g0/0/1
13:46:22 2014/07 /08
[ FW-zone-trust] 방화벽 영역 untrust
[FW-zone-untrust] 인터페이스 추가 g0/0/0
13:47:24 2014/07/08
[[FW-zone- untrust] 방화벽 영역 dmz
13:48:06 2014/07/08
[FW-zone-dmz] 인터페이스 추가 g0/0/2
13:48:13 2014/07/08
[FW- zone-dmz]q
기본적으로 방화벽은 로컬 영역 이외의 다른 영역 간의 통신을 허용하지 않습니다. 구성의 정확성을 보장하기 위해 모든 영역 간 통신을 허용하도록 기본 방화벽 필터링 규칙을 구성합니다.
[FW]방화벽 패킷 필터 기본 허용
13:51:19 2014/07/08
경고: 기본 패킷 필터링을 허용으로 설정하면 보안 위험이 발생할 수 있습니다
. 실제 데이터 흐름을 기반으로 하는 보안 정책입니다. 정말
계속하시겠습니까?[Y/N]y
[FW]ping -c 1 10.0.10.1
13:51:56 2014/07/08
PING 10.0.10.1: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요
10.0.10.1에서 응답: bytes=56 Sequence=1 ttl=255 time=90 ms
---10.0.10.1 핑 통계 ---
1패킷 (들) 전송
1패킷 수신
0.00% 패킷 손실
왕복 최소/평균/최대 = 90/90/90 ms
[FW]ping -c 1 10.0.20.2
13: 52:08 2014/07/08
PING 10.0.20.2: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요
10.0.20.2에서 응답: bytes=56 Sequence=1 ttl=255 time=400 ms
-- -10.0 .20.2 핑 통계 ---
1패킷 전송됨
1패킷 수신됨
0.00% 패킷 손실
왕복 최소/평균/최대 = 400/400/400ms
[FW ]핑 -c 1 10.0.30.3
13:52:18 2014/07/08
PING 10.0.30.3: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요
10.0.30.3에서 응답: bytes=56 Sequence=1 ttl =255 시간=410ms
---10.0.30.3 핑 통계 ---
1패킷 전송됨
1패킷 수신됨
0.00% 패킷 손실
왕복 최소/평균/최대 = 410/ 410/410ms
3단계. 네트워크 연결을 달성하기 위한 정적 라우팅 구성
R2 및 R3에서 기본 경로를 구성하고, 3개의 loopback0 인터페이스 간 통신을 달성하기 위해 FW에서 명확한 정적 경로를 구성합니다. R1은 인터넷 장치이므로 내부 및 DMZ 영역의 사설망 정보를 알 필요가 없으므로 기본 경로를 정의할 필요가 없습니다.
[R2] IP 경로 정적 0.0.0.0 0 10.0.20.254
[R3] IP 경로 정적 0.0.0.0 0 10.0.30.254
[FW] IP 경로 정적 10.0.1.0 24 10.0.10.1
13:58:26 2014/07/08
[FW]ip 경로 고정 10.0.2.0 24 10.0.20.2
13:58:40 2014/07/08
[FW]ip 경로 고정 10.0.3.0 24 10.0.30.3
13:58:52 2014/07/08
방화벽에서 10.0.1.0, 10.0.2.0, 10.0.3.0과의 연결을 테스트합니다.
[FW]ping -c 1 10.0.1.1
14:00:18 2014/07/08
PING 10.0.1.1: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요
10.0.1.1에서 응답: bytes=56 시퀀스=1 ttl=255 시간=80ms
---10.0.1.1 핑 통계 ---
1패킷 전송
1패킷 수신
0.00% 패킷 손실
왕복 분/ 평균/최대 = 80/80/80 ms
[FW]ping -c 1 10.0.2.2
14:00:25 2014/07/08
PING 10.0.2.2: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요
10.0.2.2의 응답: bytes=56 Sequence=1 ttl=255 time=170 ms
---10.0.2.2 ping 통계 ---
1패킷 전송
1패킷 수신
0.0 0% 패킷 손실
왕복 최소/평균/최대 = 170/170/170ms
[FW]ping -c 1 10.0.3.3
14:00:29 2014/07/08
PING 10.0.3.3: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요
10.0.3.3에서 응답: bytes=56 Sequence=1 ttl=255 time=110 ms
---10.0.3.3 ping 통계 ---
1패킷 전송됨
1패킷 수신됨
0.00% 패킷 손실
왕복 최소/평균/최대 = 110/110/110ms
현재 구성에서는 모든 영역이 통신 가능하며 차단되지 않습니다. 조사하다. NAT가 아직 정의되지 않았기 때문에 내부 및 DMZ 영역은 외부 영역과 통신할 수 없습니다.
4단계. 영역 간 보안 필터링 구성
는 신뢰 영역의 일부 네트워크 세그먼트 10.0.2.3에서 신뢰되지 않는 영역으로 데이터 패킷을 보내도록 허용할 수 있습니다. Untrust 영역에서 DMZ 대상 서버 10.0.3.3으로 전송된 Telnet 요청이 통과되도록 허용되었습니다.
[FW]방화벽 세션 링크 상태 확인
[FW]정책 영역 간 신뢰 비신뢰 아웃바운드
[FW-policy-interzone-trust-untrust-outbound]policy0
14:06:57 2014/07/08
[FW-policy-interzone-trust-untrust-outbound-0]policysource 10.0.2.0 0.0.0.255
14:07:18 2014/07/08
[FW-policy-interzone-trust-untrust-outbound- 0]actionpermit
14:07:31 2014/07/08
[FW-policy-interzone-trust-untrust-outbound-0]q
14:07:40 2014/07/08
[FW- 정책-interzone-trust-untrust-outbound]q
14:07:40 2014/07/08
]정책 interzone dmz untrust inbound
14:09:01 2014/07/08
[FW-policy- interzone-dmz-untrust-inbound]policy0
14:09:08 2014/07/08
[FW-policy-interzone-dmz-untrust-inbound-0]policydestination 10.0.3.3 0
14:09:37 2014/07/08
[FW-policy-interzone-dmz-untrust-inbound-0]policyservice service-set telnet
[FW-policy-interzone-dmz-untrust-inbound-0]actionpermit
14:09 :55 2014/07/08
[FW-policy-interzone-dmz-untrust-inbound-0]q
14:09:55 2014/07/08
5단계.구성 Easy-Ip을 사용하면 Trust 영역에서 Untrust 영역으로 액세스할 수 있습니다. ㅋㅋ NAT 소스 주소 변환에 Easy-IP를 사용하도록 구성할 수 있습니다. 그리고 NAT를 인터페이스에 바인딩합니다.
[FW-nat-policy-interzone-trust-untrust-outbound]policy014:14:00 2014/07/08[FW-nat-policy-interzone-trust-untrust-outbound-0]policysource 10.0.2.0 0.0.0.25514:14:26 2014/07/08[FW-nat-policy-interzone-trust-untrust-outbound-0]actionsource-nat14:14:37 2014/07/08[FW-nat-policy-interzone-trust-untrust-outbound-0]easy-ipg0/0/014:14:51 2014/07/08[FW-nat- policy-interzone-trust-untrust-outbound-0]q 구성이 완료된 후 Trust zone과 Untrust zone 간의 접속이 정상적인지 확인합니다.R3에서 Telnet 기능을 활성화하고 R1에서 테스트할 때 테스트할 때 외부 주소가 10.0이라는 점에 유의하세요. .10.20이므로 R1이 10.0.3.3에 액세스할 때 액세스되는 대상 주소는 10.0.10.20입니다.
[R3]user-interface vty 0 4
[R3-ui-vty0-4]인증 모드 비밀번호
로그인 비밀번호를 구성하세요(최대 길이 16):16
[R3-ui-vty0-4 ]인증 비밀번호 설정 ?
cipher 암호 텍스트로 비밀번호 설정
[R3-ui-vty0-4]인증 비밀번호 설정cip
[R3-ui-vty0-4]인증 비밀번호 설정cipher Huawei
[R3-ui-vty0 -4]사용자 권한 수준 3
[R3-ui-vty0-4]q
CTRL_]을 눌러 텔넷 모드를 종료하세요
10.0.10.20 시도 중 ...
연결됨 ~ 10.0.10.20 ...
로그인 인증
비밀번호:
위 내용은 USG 방화벽의 NAT 구성의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
OneDrive에서 '오류: 0x80070185, 클라우드 작업에 실패했습니다'를 해결하는 방법
May 16, 2023 pm 04:26 PM
OneDrive는 Microsoft에서 제공하는 널리 사용되는 클라우드 저장소 응용 프로그램입니다. 우리 대부분은 OneDrive를 사용하여 파일, 폴더, 문서 등을 저장합니다. 그러나 일부 사용자는 OneDrive에서 공유 파일에 액세스하려고 할 때 "오류: 0x80070185, 클라우드 작업이 실패했습니다"라는 오류가 표시된다고 불평했습니다. 따라서 OneDrive에서 파일 복사, 붙여넣기, 공유 파일 다운로드 등의 작업을 수행할 수 없습니다. 요즘에는 일상 업무에서 이러한 작업을 사용해야 합니다. 이 오류는 쉽게 해결할 수 있으며 이를 위해 적용하고 문제를 해결하려고 시도할 수 있는 몇 가지 방법이 있습니다. 시작하자! 방법 1 - 로그아웃한 후 OneDrive 앱 단계에 다시 로그인
게임에 대한 NAT Boost와 Qos 중 어느 것이 더 낫습니까?
Feb 19, 2024 pm 07:00 PM
거의 모든 게임이 온라인으로 진행되는 오늘날의 상황에서 홈 네트워크의 최적화를 무시하는 것은 바람직하지 않습니다. 거의 모든 라우터에는 사용자의 게임 경험을 향상시키도록 설계된 NATBoost 및 QoS 기능이 탑재되어 있습니다. 이 기사에서는 NATBoost 및 QoS의 정의, 장점 및 단점을 살펴보겠습니다. 게임에 대한 NATBoost와 Qos 중 어느 것이 더 낫습니까? 네트워크 주소 변환 부스트(Network Address Translation Boost)라고도 알려진 NATBoost는 성능을 향상시키는 라우터에 내장된 기능입니다. 이는 게임 장치와 서버 간에 데이터가 전송되는 데 걸리는 시간인 네트워크 대기 시간을 줄이는 데 도움이 되기 때문에 게임에 특히 중요합니다. NATBoost는 라우터 내의 데이터 처리 방법을 최적화하여 더 빠른 데이터 처리 속도와 더 낮은 대기 시간을 달성하여
Windows 10 브라우저에서 문법이 작동하지 않는 경우의 8가지 주요 수정 사항
May 05, 2023 pm 02:16 PM
Windows 10 또는 11 PC에 구문 문제가 있는 경우 이 문서가 문제 해결에 도움이 될 것입니다. Grammarly는 문법, 철자법, 명확성 등을 수정하는 가장 인기 있는 타이핑 도우미 중 하나입니다. 이는 글쓰기 전문가에게 필수적인 부분이 되었습니다. 그러나 제대로 작동하지 않으면 매우 실망스러운 경험이 될 수 있습니다. 많은 Windows 사용자는 이 도구가 자신의 컴퓨터에서 제대로 작동하지 않는다고 보고했습니다. 우리는 심층 분석을 수행하여 이 문제의 원인과 해결책을 찾았습니다. 내 PC에서 Grammarly가 작동하지 않는 이유는 무엇입니까? 몇 가지 일반적인 이유로 인해 PC의 문법이 제대로 작동하지 않을 수 있습니다. 여기에는 다음이 포함됩니다.
Win11 방화벽 고급 설정 회색 솔루션
Dec 24, 2023 pm 07:53 PM
방화벽을 설정할 때 많은 친구들이 win11 방화벽 고급 설정이 회색으로 표시되어 클릭할 수 없다는 사실을 알게 됩니다. 이는 컨트롤 유닛을 추가하지 않았거나, 고급 설정을 올바른 방법으로 열지 않았기 때문에 발생할 수 있습니다. 해결 방법을 살펴보겠습니다. Win11 방화벽 고급 설정이 회색으로 표시됩니다. 방법 1: 1. 먼저 아래 시작 메뉴를 클릭하고 상단의 "제어판"을 검색하여 엽니다. 2. 그런 다음 "Windows Defender 방화벽"을 엽니다. 3. 입력한 후 "고급"을 열 수 있습니다. 설정'을 왼쪽 열에 표시합니다. 방법 2: 1. 위의 방법을 열 수 없는 경우 "시작 메뉴"를 마우스 오른쪽 버튼으로 클릭하고 "실행"을 엽니다. 2. 그런 다음 "mmc"를 입력하고 Enter를 눌러 열기를 확인합니다. 3. 개봉 후 좌측상단 클릭
수정: Windows 11 방화벽이 프린터를 차단합니다.
May 01, 2023 pm 08:28 PM
방화벽은 네트워크 트래픽을 모니터링하고 특정 프로그램 및 하드웨어에 대한 네트워크 연결을 차단할 수 있습니다. Windows 11에는 웹에 대한 프린터 액세스를 차단할 수 있는 자체 Windows Defender 방화벽이 포함되어 있습니다. 따라서 영향을 받는 사용자는 방화벽이 차단하면 Brother 프린터를 사용할 수 없습니다. 이 문제는 다른 브랜드에도 영향을 미치지만 오늘은 해결 방법을 알려 드리겠습니다. 내 Brother 프린터가 방화벽에 의해 차단되는 이유는 무엇입니까? 이 문제에는 여러 가지 원인이 있으며, 프린터가 네트워크에 액세스하려면 먼저 특정 포트를 열어야 할 가능성이 높습니다. 프린터 소프트웨어도 문제를 일으킬 수 있으므로 해당 소프트웨어와 프린터 드라이버를 업데이트하시기 바랍니다. 방법을 알아보려면 계속 읽어보세요.
Windows 11 정품 인증 시 오류 코드 0xc004f074를 해결하세요.
May 08, 2023 pm 07:10 PM
PC에 최신 운영 체제를 설치한 후 Windows 11을 정품 인증하는 것이 주요 작업입니다. Windows 11 운영 체제의 진정한 잠재력을 발휘할 뿐만 아니라, 귀찮은 "Windows 11 활성화" 메시지도 제거합니다. 그러나 일부 사용자의 경우 Windows 11 정품 인증 오류 0xc004f074로 인해 정품 인증이 원활하게 진행되지 않습니다. 이 버그는 사용자가 Windows 11을 활성화하는 것을 방해하고 기능이 제한된 운영 체제를 사용하도록 강제합니다. Windows 11 정품 인증 오류 코드 0xc004f074는 키 관리 서비스와 관련이 있습니다. KMS를 사용할 수 없을 때 이 문제가 발생합니다. 좋습니다. 이번 튜토리얼은 여기까지입니다
Alpine Linux에서 방화벽을 활성화하거나 비활성화하는 방법은 무엇입니까?
Feb 21, 2024 pm 12:45 PM
AlpineLinux에서는 iptables 도구를 사용하여 방화벽 규칙을 구성하고 관리할 수 있습니다. AlpineLinux에서 방화벽을 활성화 또는 비활성화하는 기본 단계는 다음과 같습니다. 방화벽 상태를 확인하십시오: sudoiptables -L 출력에 규칙이 표시되면(예: 일부 INPUT, OUTPUT 또는 FORWARD 규칙이 있음) 방화벽이 활성화된 것입니다. 출력이 비어 있으면 방화벽이 현재 비활성화된 것입니다. 방화벽 활성화: sudoiptables-PINPUTACCEPTsudoiptables-POUTPUTACCEPTsudoiptables-PFORWARDAC
Win10 바탕 화면 아이콘에서 방화벽 로고를 제거하는 방법은 무엇입니까?
Jan 01, 2024 pm 12:21 PM
win10 시스템을 사용하는 많은 친구들이 컴퓨터 바탕 화면의 아이콘에 방화벽 로고가 있다는 것을 발견했습니다. 무슨 일이 일어나고 있는 걸까요? 이로 인해 강박 장애가 있는 많은 친구들이 실제로 제어판만 열어도 불편해집니다. "사용자 계정 컨트롤 설정 변경"을 변경하면 문제가 해결될 수 있습니다. 구체적인 튜토리얼을 살펴보겠습니다. Windows 10 바탕 화면 아이콘의 방화벽 로고를 취소하는 방법 1. 먼저 컴퓨터 시작 화면 옆에 있는 시작 메뉴 버튼을 마우스 오른쪽 버튼으로 클릭한 후 팝업 메뉴에서 제어판 기능을 선택합니다. 2. 그런 다음 "사용자 계정" 옵션을 선택하고 나타나는 새 인터페이스에서 "사용자 계정 컨트롤 설정 변경" 항목을 선택하십시오. 3. 창의 슬라이더를 하단으로 조정한 후 확인을 클릭하여 종료합니다.
